结论:#{}会使用PreparedStatement的参数化查询方式,而${}会直接将参数替换到sql语句中执行(该种方式会有被sql注入的风险)。
测试:
Mapper.xml
<resultMap id="BillList" type="com.demo.bill1.domain.Bill" > <result column="TX_TYP" property="txTyp" /> <result column="REMARK" property="remark" /> <result column="NO" property="no" /> </resultMap> <!-- ${}方式}--> <select id="sfByNo" parameterType="String" resultMap="BillList"> SELECT * FROM bill order by ${no} </select> <!-- #{}方式}--> <select id="sfByTxTyp" parameterType="com.demo.bill1.domain.Bill" resultMap="BillList"> SELECT * FROM bill where TX_TYP=#{txTyp} </select>
对应的Mapper接口
//使用#{}方式 List<Bill> sfByTxTyp(Bill bill); //使用${}方式时,要想传入一个字符串作为参数,必须加上@Param注解 List<Bill> sfByNo(@Param("no")String no);
测试类:
#{}方式:
@Test public void sfByTxTyp(){ Bill bill=new Bill(); bill.setTxTyp("1"); billMapper.sfByTxTyp(bill); }
Mybatis日志打印:可以看到是使用参数化查询的方式。
${}方式:
@Test public void sfByNo(){ Bill bill=new Bill(); String no="no"; System.out.println(billMapper.sfByNo(no)); }
Mybatis日志打印:可以看到no作为字符串直接替换到了sql中进行执行。
